Facebook 隨意刪照片 bug 發(fā)現(xiàn)者得到 12500 刀獎(jiǎng)勵(lì)
發(fā)布時(shí)間:2013-9-5 瀏覽:3563
一位 21 歲的男生酷瑪(Kumar)發(fā)現(xiàn)了一個(gè) Facebook 可隨意刪除照片的 bug�,上報(bào) bug 之后得到 Facebook 12500 美刀的獎(jiǎng)勵(lì)����。該 bug 的發(fā)現(xiàn)需要一點(diǎn)細(xì)心,不需要太多技術(shù)。具體是這樣的——
Facebook 允許用戶舉報(bào)其他用戶照片,允許用戶要求 Facebook 刪除其他用戶照片。這個(gè)政策的存在原因我們都可以想到啦���,比如陳攝影師的照片如果開放給所有人瀏覽肯定是會被舉報(bào)處理的。
Facebook 的照片舉報(bào)政策非常貼心,在用戶甲舉報(bào)用戶乙的某張照片之后���,F(xiàn)acebook 會給用戶乙發(fā)送一份通知,通知中會給出一個(gè)刪除照片鏈接。Bug 就出在這份通知中����,通知源代碼中的'photo_id' (照片名)和 'Owners Profile_id'(照片上傳者名字)可以隨意更改�。這意味著什么呢����?意味著你想要?jiǎng)h除任何人的任何照片都可以,只要你將通知代碼更改,就可以得到刪除照片鏈接���,且照片刪除之后不會發(fā)出任何通知,在照片主人不查看這張被刪除照片的情況下����,無人會發(fā)現(xiàn)已經(jīng)有照片被刪除���。
酷瑪將這個(gè) bug 上報(bào)之后,得到 Facebook 12500 美刀獎(jiǎng)勵(lì)��。Facebook 為獎(jiǎng)勵(lì)上報(bào) bug 的同學(xué)們��,兩年支出一百萬美金����,一般情況下是比較慷慨的�。少數(shù)情況下會表現(xiàn)吝嗇,比如月前那位黑進(jìn)扎克伯格主頁上報(bào) bug 的同學(xué)���。
粵公網(wǎng)安備 44010602000562號
